Cisco сообщила о волне атак на Secure Firewall ASA и FTD: злоумышленники комбинируют CVE‑2025‑20362 и CVE‑2025‑20333, чтобы сначала получить удалённый доступ, а затем перезагружать устройства, добиваясь отказа в обслуживании. Первая уязвимость позволяет обращаться к закрытым URL без авторизации, вторая даёт аутентифицированному нападающему возможность запускать произвольный код; в связке они фактически лишают администратора контроля над системой и открывают путь к дальнейшему взлому сети. Патчи выпущены 25 сентября 2025 года, а CISA в тот же день потребовала от госструктур устранить уязвимости за 24 часа либо отключить неподдерживаемые модели ASA. Shadowserver насчитывает свыше 34 тыс. экземпляров ASA и FTD, которые всё ещё остаются без обновлений (в сентябре их было около 50 тыс.), поэтому риск эксплуатации сохраняется. Cisco уточняет, что под ударом преимущественно ASA 5500‑X с активированными VPN-сервисами, и связывает атаки с группой, стоявшей за кампанией ArcaneDoor 2024 года. Компания настоятельно рекомендует немедленно установить исправления, проверить устройства на признаки компрометации и исключить из инфраструктуры модели, для которых закончилась поддержка.